CVE-2026-40564

Nome do Software Vulnerável e Versões Afetadas Apache Flink Kubernetes Operator versões 1.3.0 até 1.14.x

Descrição Um problema de Server-Side Request Forgery (SSRF) e acesso a arquivos locais existe onde o jarURI em FlinkSessionJob não é validado. Isso permite que um usuário com permissões de criação de CR leia arquivos do sistema de arquivos do pod do operador e recupere conteúdo de qualquer armazenamento acessível através da camada de sistema de arquivos plugável do Flink. Para endereços http/https, não há lista de permissões de esquema de URI, verificação de host, restrição de intervalo de IP ou proteção contra endereços internos ou link-local.

Recomendações Atualizar para a versão 1.15.0.